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Beschreibung 

Rechneranordnung, die an ein Dateniibertragungsnet z anschlieS- 
bar ist 

5 

Die Erfindung betrifft eine Rechneranordnung, die an ein 
Dateniibertragungsnet z, z. B. Internet oder Intranet, ange- 
schlossen ist. Solche Rechneranordnungen, meist einzelne 
Rechner, wie z. B. PCs, sind in zunehmendem MaSe Computer- 

10 viren und unerlaubten Zugriffen auf interne Daten ausgesetzt. 
Virenscanner konnen in der Regel nur bekannte Computerviren 
£ erkennen und beseitigen, nicht aber solche Viren, die vollig 

s neu sind und ganzlich andere Strukturen als bisher bekannte 
Viren aufweisen. Insbesondere bei Rechnern in Verwaltungen, 

15 Banken, Versicherungen, der Industrie, z. B. Bedienen und 

Beobachten von Automat isierungssystemen, die zunehmend iiber 
offentliche Dateniibertragungsnet ze mit anderen Rechneranord- 
nungen, z. B. zentralen Leitstellen, kommunizieren, kann die 
Inf izierung mit Computerviren zu immensen Schaden fiihren. So 

2 0 konnen als Trojaner bezeichnete Programme in den Rechner ein- 

geschleust werden, die, z. B. als Nutzprogramm getarnt , im 
Verborgenen interne Daten ausspahen und diese an eine externe 
S telle iibermitteln. 

r 

Hp25 Der Erfindung liegt daher die Aufgabe zugrunde, einen siche- 
ren Schutz gegen Computerviren, unerlaubte Zugriffe auf in- 
terne Daten und Datenverlust im Falle einer Infizierung zu 
erreichen. 

3 0 GemaS der Erfindung wird die Aufgabe dadurch gelost, dass 

eine Rechneranordnung, die an ein Dateniibertragungsnet z an- 
schlieJSbar ist, einen ersten Rechner und einen davon unab- 
hangigen redundanten, zweiten Rechner aufweist, wobei sich 
beide Rechner durch Vergleich ihrer Arbeitsergebnisse abglei- 
35 chen, wobei der Empfang von Daten aus dem Dateniibertragungs- 
netz auf den ersten Rechner und das Senden von Daten auf das 
Dateniibertragungsnet z auf den zweiten Rechner beschrankt ist, 



wobei zumindest die Erst-Verarbeitung von empfangenen Daten 
auf den ersten Rechner beschrankt ist und wobei von dem 
ersten Rechner empfangene, nicht uberprtifte oder nicht iiber- 
prufbare Daten nur verschlossen, d. h. nicht verarbeitbar , 
auf dem zweiten Rechner gespeichert werden. 

Die erf indungsgemafie Rechneranordnung besteht also aus zwei 
parallelen Rechnern, die praktisch den gleichen Hardware- 
aufbau aufweisen und mit gleicher Software konfiguriert sind 
Beide Rechner arbeiten parallel, abwechselnd oder arbeits- 
teilig, wobei sie sich jedoch regelmaSig durch Vergleich 
ihrer Arbeitsergebnisse, beispielsweise durch Quersummen- 
uberprufung oder Vergleich vorgegebener Daten, abgleichen. 
Der Abgleich kann z. B. durch den Anwender ausgelost oder 
automatisch beispielsweise bei Programmende , beim SchlieSen 
von Dateien, bei der Ein- und Ausgabe von Daten oder bei 
Speicherzugrif f en gestartet werden. Zwischen den beiden 
Rechnern werden Daten nur dann ausgetauscht bzw. angebotene 
Daten nur dann ubernommen, wenn die von den Rechnern ge- 
lieferten Arbeitsergebnisse gleich sind. Im Rahmen des- Ab- 
gleichs konnen daher aufgrund von unterschiedlichen Arbeits- 
ergebnissen der beiden Rechner Fehlf unktionen bzw. verfalsch 
te Daten erkannt werden. 

Urn die geforderte Sicherheit zu erreichen, sind der Empfang 
von Daten aus dem Dateniibertragungsnet z und zumindest die 
Erst-Verarbeitung der empfangenen Daten auf den ersten Rech- 
ner und das Senden von Daten auf das Dateniibertragungsnet z 
auf den zweiten Rechner beschrankt. Dies kann durch eine 
entsprechende hardware- oder sof twaremaSige Sende-Sperre bzw 
Empf angs-Sperre erfolgen. Anstelle der Sende-Sperre kann 
beispielsweise auch vorgesehen werden, dass in dem ersten 
Rechner nur empfangene Daten speicherbar sind, so dass ein 
Senden von anderen als den empfangenen Daten nicht moglich 
ist. Im Rahmen der auf den ersten Rechner beschrankten Erst- 
Verarbeitung der empfangenen Daten konnen diese iiberpriift 
werden, wobei nur uberpriifte Daten von dem zweiten Rechner 
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unverschlossen, d. h. verarbeitbar, ubernommen und abgespei- 
chert werden konnen. Bei E-mails uberprufbare Daten sind bei- 
spielsweise die Adresse des Senders, der Betrefftext sowie 
weitere Teildaten, die je nach Sof twareprodukt vollstandig 
uberpriifbar sind, so z. B. Text formate , nicht jedoch Makros . 
Die Uberpriifung der Daten erfolgt dabei vorzugsweise unab- 
hangig auf beiden Rechnern, wobei es nur nach einem Ergebnis- 
abgleich zu einer Abspeicherung der Daten auf dem zweiten 
Rechner kommt . Von dem ersten Rechner empfangene, nicht uber- 
priifte oder nicht uberprufbare Daten werden nur verschlossen 
(gekapselt) , d. h. nicht verarbeitbar , von dem zweiten Rech- 
ner entgegengenommen . Dies gilt gleichermaSen fur durch Ver- 
arbeitung dieser Daten auf dem ersten Rechner erzeugte neue 
Daten. Solche verschlossenen Daten konnen auf dem zweiten 
Rechner weder geoffnet noch verarbeitet werden, sondern nur 
als Anhang beispielsweise an ein Sende-E-mail angefiigt wer- 
den. 

Auf diese Weise wird erreicht, dass der zweite, redundante 
Rechner, der aufgrund von Hardware- oder Sof twarema&nahmen 
empf angsuntiichtig ist, frei von Computerviren bleibt und dass 
auch keine Computerviren beim Senden von Daten nach auSen 
weitergegeben werden konnen. Auch konnen keine Daten durch so 
genannte Trojaner abgeholt oder verfalscht werden. Wird der 
erste Rechner aufgrund von empfangenen Daten mit Computer- 
viren infiziert, so wird dies bei dem Abgleichen der beiden 
Rechner erkannt . In diesem Fall kann durch Kopieren des Zu- 
standes des zweiten Rechners auf den ersten Rechner dieser ^ 
wieder in einen virenfreien Zustand versetzt werden, ohne 
dass Daten oder bereits. ausgefiihrte Arbeiten verloren gehen. 

Urn auszuschlieSen, dass in einem zentralen Datenspeicher 
enthaltene interne Daten der Rechneranordnung aufgrund einer 
Infizierung des empf angsf ahigen ersten Rechners verfalscht 
oder geloscht werden, ist der unmittelbare Zugriff auf diese 
Daten auf den zweiten Rechner beschrankt, wobei der erste 
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Rechner diese Daten nur auf Anforderung iiber den zweiten 
Rechner erhalt. 

Bei vergleichsweise groSen zu erbringenden Rechenleistungen 
kann ein unabhangiger redundanter, dritter Rechner vorgesehen 
sein, wobei sich der zweite und der dritte Rechner durch Ver- 
gleich ihrer Arbeitsergebnisse abgleichen. Im Falle eines 
Automat isierungs systems ubernimmt z. B. der dritte Rechner 
Automat isierungsf unktionen, wahrend der erste und der zweite 
Rechner fur die Kommunikation iiber das Datenubertragungsnet z 
zustandig sind. 

Im Weiteren wird die erf indungsgemalSe Rechneranordnung anhand 
eines in der Figur der Zeichnung dargestellten Ausf iihrungs- 
beispiels erlautert . 

Die hier als Funktions-Blockschaltbild dargestellte Rechner- 
anordnung besteht aus einem ersten Rechner 1, einem zweiten, 
redundanten Rechner 2 und einem optionalen, dritten Rechner 
3. Die Rechner 1, 2 und 3 weisen, von den unten angegebenen 
Ausnahmen abgesehen, jeweils den gleichen Hardwareauf bau auf 
und sind mit der gleichen Software konf iguriert . Der Rechner 
1 ist iiber einen Empf angstreiber 4 an einem Dateniibertra- 
gungsnetz 5 angeschlossen und im Ubrigen sendeuntiicht ig . Der 
redundante Rechner 2 ist iiber einen Sendetreiber 6 an dem 
Dateniibertragungsnetz 5 angeschlossen und im Ubrigen emp- 
f angsuntiichtig . Der optionale, dritte Rechner 3 ist fur den 
Fall vorgesehen, dass hohere Rechenleistungen erbracht werden 
sollen, wie z. B. das Bedienen und Beobachten von Automati- 
sierungssystemen. Mit Ausnahme der Erst-Verarbeitung von emp- 
fangenen Daten, die auf den ersten Rechner 1 beschrankt ist, 
und der von dem dritten Rechner 3 zu erbringenden hoheren 
Rechenleistungen werden in alien Rechnern 1, 2 und 3 die 
gleichen Funktionen ausgefiihrt, weswegen Anwender-Eingaben, 
die beispielsweise an einer Tastatur 7 oder einer Computer- 
maus 8 vorgenommen werden, alien Rechnern 1, 2 und 3 parallel 
zugefiihrt werden. 
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In einem ersten Speicher bzw. Speicherbereich 9 werden die 
Arbeitsergebnisse der beiden Rechner 1 und 2 beispielsweise 
durch Quersummenuberpruf ung usw. abgeglichen. Weitere Spei- 
cher bzw. Speicherbereiche 10 und 11 dienen zum Daten- 
5 austausch im Rahmen des Ergebnisabgleichs der beiden Rechner 
1 und 2, wobei Daten nur dann ausgetauscht bzw. angebotene 
Daten nur dann akzeptiert werden, wenn die Arbeitsergebnisse 
der beiden Rechner 1 und 2 gleich sind. 

10 Von dem Rechner 1 aus dem Dateniibertragungsnetz 5 empfangene 
Daten, z. B. E-mails, werden im Rahmen des Datenaustauschs 

1 nur selektiv (z. B. Adresse des Senders, Betrefftext) bzw. in 
dem Umfang an den zweiten Rechner 2 weitergegeben, wie diese 
Daten vollstandig iiberprufbar sind (z. B. Text formate, nicht 

15 jedoch Makros) . Die Prufung wird auf beiden Rechnern 1 und 2 
unabhangig ausgefiihrt, wobei die endgultige Ubertragung und 
Abspeicherung in den jeweils anderen Rechner erst bei iiber- 
einstimmenden positiven Pruf ergebnissen erf olgt . Im Ubrigen 
ist die Erst-Verarbeitung von empfangenen Daten allein auf 

2 0 deh ersten Rechner 1 beschrankt. Nicht uberpriifbare empfan- 

gene Daten sowie durch Verarbeitung dieser Daten in dem Rech- 
ner 1 neu erzeugte Daten werden im Rahmen des Datenaustauschs 
nur in verschlossenem Zustand an den zweiten, redundanten 
Rechner 2 iibergeben, der die verschlossenen Daten weder off- 



schlossenen Zustand nur als Anhang an andere zu sendende Da- 
ten, z. B. ein Sende-E-mail , angefiigt werden. 

Wird der erste Rechner 1 aufgrund von empfangenen Daten mit 
30 Computerviren infiziert, so wird dies bei dem regelmafiigen 
Abgleichen der beiden Rechner 1 und 2 erkannt . Aufgrund der 
oben erlauterten Sicherheitsmechanismen bei dem Daten- 
austausch zwischen den beiden Rechnern 1 und 2 ist ein Uber- 
greifen der Computerviren von dem ersten Rechner 1 auf den 
35 zweiten Rechner 2 ausgeschlossen . Durch Kopieren des Zustan- 
des des zweiten Rechners 2 auf den ersten Rechner 1 kann 
dieser wieder in einen virenfreien Zustand versetzt werden, 




nen noch verarbeiten kann. Diese Daten konnen dann im ver- 
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ohne dass Daten verloren gehen. Durch die oben erlauterten 
S i che rhe i t smechani smen wird weiterhin ein unerlaubter Zugriff 
iiber das Dateniibertragungsnet z 5 auf interne Daten der Rech- 
neranordnung ausgeschlossen . 

Wie bereits erwahnt, werden groSere Rechenleistungen im We- 
sentlichen von dem optional vorgesehenen, dritten Rechner 3 
erbracht, wobei der erste Rechner 1 und der zweite Rechner 2 
fur die Kommunikat ion iiber das Dateniibertragungsnet z 5 zu- 
standig sind. Der dritte Rechner 3 gleicht sich dabei iiber 
Speicher bzw. Speicherbereiche 12, 13 und 14 mit dem zweiten 
Rechner 2 ab. Aus Sicherheitsgriinden hat der erste Rechner 1 
keinen Zugriff auf einen zentralen Datenspeicher 15 mit ge- 
meinsamen Daten, die nur von dem Rechner 3 und gegebenenf alls 
dem Rechner 2 gelesen werden konnen und erf orderlichenf alls 
dem ersten Rechner 1 bereitgestellt werden. 
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Patent anspriiche 

1. Rechneranordnung, die an einem Datenubertragungsnetz (5) 
anschliefibar ist, mit einem ersten Rechner (1) und einem da- 

5 von unabhangigen redundanten, zweiten Rechner (2) , wobei sich 
beide Rechner (1 und 2) durch Vergleich ihrer Arbeit sergeb- 
nisse abgleichen, wobei der Empfang von Daten aus dem Daten- 
ubertragungsnetz (5) auf den ersten Rechner (1) und das Sen- 
den von Daten auf das Datenubertragungsnetz (5) auf den zwei- 

10 ten Rechner (2) beschrankt ist, wobei zumindest die Erst-Ver- 
arbeitung der empfangenen Daten auf den ersten Rechner (1) 
beschrankt 1st und wobei von dem ersten Rechner (1) empfan- 
< gene, nicht iiberprufte oder nicht iiberpriifbare Daten nur ver- 

schlossen, d. h. nicht verarbeitbar , auf dem zweiten Rechner 

15 (2) gespeichert werden. 

2. Rechneranordnung nach Anspruch 1, dadurch gekenn-. 
zeichnet, dass die empfangenen Daten in dem ersten Rechner 
(1) uberpruft und nur iiberprufte Daten dem zweiten Rechner 

20 (2) unverschlossen, d. h. verarbeitbar, zugefuhrt werden. 

3. Rechneranordnung nach Anspruch 1, dadurch gekenn- 
zeichnet, dass die empfangenen Daten in dem ersten Rechner 
(1) und dem zweiten Rechner (2) unabhangig iiberpruft werden 
und dass nur ubereinstimmend iiberprufte Daten auf dem zweiten 
Rechner (2) unverschlossen, d. h. verarbeitbar, gespeichert 
werden. 

4. Rechneranordnung nach einem der vorangehenden Anspriiche, 
30 dadurch g e k e n n z e i c h n e t , dass ein unmittelbarer Zugriff 

auf in einem zentralen Datenspeicher (15) enthaltene interne 
Daten der Rechneranordnung auf den zweiten Rechner (2) be- 
schrankt ist und dass der erste Rechner (1) diese Daten nur 
auf Anforderung iiber den zweiten Rechner (2) erhalt. 

35 

5. Rechneranordnung nach einem der vorangehenden Anspriiche, 
dadurch gekennzeichnet, dass ein unabhangiger redun- 
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danter, dritter Rechner (3) vorgesehen ist und dass sich der 
zweite und der dritte Rechner (2, 3) durch Vergleich ihrer 
Arbe i t s e rgebni s s e abg 1 e i chen . 
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Zusammenf as sung 

Rechneranordnung, die an ein Dateniibertragungsnet z anschlieS- 
bar ist 

5 

Urn bei einer Rechneranordnung, die an ein Dateniibertragungs- 
netz anschlieSbar ist, einen sicheren Schutz gegen Computer- 
viren, unerlaubte Zugriffe auf interne Daten und Datenverlust 
im Falle einer Infizierung zu erreichen, weist die Rechner- 

10 anordnung einen ersten Rechner (1) und einen davon unabhangi- 
gen redundanten, zweiten Rechner (2) auf, wobei sich beide 

y Rechner (1, 2) durch Vergleich ihrer Arbeit sergebnisse ab- 
gleichen, wobei der Empfang von Daten aus dem Dateniibertra- 
gungsnet z (6) auf den ersten Rechner (1) und das Senden von 

15 Daten auf das Dateniibertragungsnet z (6) auf den zweiten Rech- 
ner (2) beschrankt ist, wobei zumindest die Erst-Verarbeitung 
von empfangenen Daten auf den ersten Rechner (1) beschrankt 
ist und wobei von dem ersten Rechner (1) empfangene, nicht 
iiberpriifte oder nicht iiberpriifbare Daten nur verschlossen, 

20 d. h. nicht verarbeitbar , auf dem zweite^i Rechner (2) ge- 
speichert werden. 

Figur 
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